Grist ilişkisel elektronik tablo veritabanının açık kaynaklı, kendi kendine barındırılan bir sürümü olan Grist‑Core’da, uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik açığı ortaya çıktı.
Şu şekilde izlenen güvenlik açığı: CVE-2026-24002 (CVSS puanı: 9.1), kod adı verilmiştir Hücrekırımı Cyera Araştırma Laboratuvarları tarafından.
Kusuru keşfeden güvenlik araştırmacısı Vladimir Tokarev, “Kötü niyetli bir formül, bir e-tabloyu Uzaktan Kod Yürütme (RCE) özelliğine dönüştürebilir” dedi. “Bu sanal alan kaçışı, bir formül yazarının işletim sistemi komutlarını yürütmesine veya ana bilgisayar çalışma zamanı JavaScript’ini çalıştırmasına olanak tanıyarak ‘hücre mantığı’ ile ana bilgisayar yürütme arasındaki sınırı daraltıyor.”
Cellbreak, yakın zamanda n8n’yi de etkileyen aynı tür güvenlik açığı olan Pyodide sanal alandan kaçış durumu olarak kategorize ediliyor (CVE-2025-68668, CVSS puanı: 9,9, diğer adıyla N8scape). Güvenlik açığı, 9 Ocak 2026’da yayımlanan 1.7.9 sürümünde giderildi.
Proje sorumluları, “Bir güvenlik incelemesi, Grist’te bulunan ‘pyodide’ korumalı alan yönteminde bir güvenlik açığı tespit etti” dedi. “Örneğin Yönetici Panelinin korumalı alan oluşturma bölümünde etkilenip etkilenmediğinizi kontrol edebilirsiniz. Burada ‘gvisor’ ifadesini görüyorsanız, etkilenmemişsiniz demektir. ‘pyodide’ ifadesini görüyorsanız Grist’in bu sürümüne veya sonraki bir sürümüne güncelleme yapmanız önemlidir.”
Özetle, sorun Grist’in Python formülü uygulamasından kaynaklanıyor; bu, güvenilmeyen formüllerin Pyodide içinde çalıştırılmasına izin veriyor; bu, normal Python kodunun WebAssembly (WASM) sanal alanının sınırları içinde doğrudan bir web tarayıcısında yürütülmesine olanak tanıyan bir Python dağıtımı.
Bu düşünce sürecinin ardındaki fikir Python formül kodunun yalıtılmış bir ortamda çalıştırılmasını sağlamak olsa da Grist’in blok liste tarzı bir yaklaşım kullanması, sanal alandan kaçmayı ve sonuçta temeldeki ana makinede komut yürütmeyi mümkün kılıyor.
Tokarev, “Sandbox’ın tasarımı, Python’un sınıf hiyerarşisinde geçişe izin veriyor ve ctype’leri kullanılabilir durumda bırakıyor; bunlar birlikte, bir formül hücresinden hiçbir zaman erişilmemesi gereken Emscripten çalışma zamanı işlevlerine açık erişim sağlıyor.” diye açıkladı. “Bu kombinasyon, dosya sistemine erişim ve gizli bilgilerin ifşa edilmesi gibi pratik sonuçlarla, ana bilgisayar çalıştırma zamanında ana bilgisayar komutunun yürütülmesine ve JavaScript yürütülmesine olanak tanıyor.”
Grist’e göre, bir kullanıcı GRIST_SANDBOX_FLAVOR’u Pyodide olarak ayarladığında ve kötü amaçlı bir belge açtığında, bu belge Grist’i barındıran sunucuda rastgele işlemler yürütmek için kullanılabilir. Bir formül aracılığıyla komutları veya JavaScript’i yürütme yeteneğiyle donanmış bir saldırgan, veritabanı kimlik bilgilerine ve API anahtarlarına erişmek, hassas dosyaları okumak ve yanal hareket fırsatları sunmak için bu davranıştan yararlanabilir.
Grist, Pyodide formülünün yürütülmesini varsayılan olarak Deno JavaScript çalışma zamanı altına taşıyarak sorunu çözdü. Ancak, bir operatörün GRIST_PYODIDE_SKIP_DENO’yu açıkça “1” değerine ayarlamayı seçmesi durumunda riskin bir kez daha ortaya çıkacağını belirtmekte fayda var. Güvenilmeyen veya yarı güvenilir formüllerin çalıştırılma ihtimalinin olduğu senaryolarda bu ayardan kaçınılmalıdır.
Potansiyel riskleri azaltmak için kullanıcıların mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir. Sorunu geçici olarak azaltmak için GRIST_SANDBOX_FLAVOR ortam değişkeninin “gvisor” olarak ayarlanması önerilir.
Tokarev, “Bu, diğer otomasyon platformlarında bulunan sistemik riski yansıtıyor: ayrıcalıklı erişime sahip tek bir yürütme yüzeyi, sanal alan başarısız olduğunda kurumsal güven sınırlarını çökertebilir” dedi.
“Formül yürütme izin veren bir sanal alana dayandığında, tek bir kaçış ‘veri mantığını’ ‘ana bilgisayar yürütmesine’ dönüştürebilir. Grist-Core bulguları, korumalı alanın neden kırılgan bir engelleme listesi değil, yetenek tabanlı ve derinlemesine savunma olması gerektiğini gösteriyor. Başarısızlığın maliyeti sadece bir hata değil, aynı zamanda bir veri düzlemi ihlalidir.”